FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics

コース概要

スレットハンティング、インシデント対応、デジタルフォレンジックの手法やプロセスは、急速に進化し続けています。適切に侵害を検知できない旧来の手法に頼る余裕はありません。重要なのは、攻撃者が目的を達成し被害が拡大する前に、セキュリティ対策をすり抜けた攻撃を継続的に検出することです。このように、侵害の兆候を能動的に探し出すプロセスは「スレットハンティング」と呼ばれます。このコースでは、Microsoft Windowsベースのエンタープライズ環境を対象に、APT（国家支援型攻撃者）、組織化された犯罪グループ、ランサムウェア攻撃者、ハクティビストなど、さまざまな脅威に対して、検知・分析・対処・復旧を行うための高度なスキルを体系的に習得します。

スレットハンティングやインシデント対応の手法・プロセスは、急速に進化し続けています。侵害されたシステムを適切に特定できず、効果的な封じ込めや迅速な復旧が行えないような従来型の手法に頼ることは、もはや許されません。特に、拡散するランサムウェアへの対応には、より高度で実践的なアプローチが求められます。インシデント対応チームやスレットハンティングチームは、マルウェアの兆候や不審な挙動を特定・分析し、現在および将来の侵害を検知するための正確な脅威インテリジェンスを生み出す上で重要な役割を担います。このコースでは、Microsoft Windowsベースのエンタープライズ環境を対象に、さまざまな脅威を発見・特定・対処・復旧するための高度なスキルを体系的に習得します。対象となる脅威には、国家支援型のAPT攻撃者、組織犯罪グループ、ランサムウェア攻撃者、ハクティビストなどが含まれます。また、GCFA（GIAC Certified Forensic Analyst）認定の主要な対策講座としても位置づけられており、高度な侵害の検知と対応に関する実務スキルを証明するための基盤となります。

FOR508: Advanced Incident Response and Threat Hunting Trainingで習得できること：

• 攻撃者の手口（トレードクラフト）を理解し、侵害評価を実施できるようになる
• 侵害がいつ、どのように発生したのかを検知できるようになる
• 侵害・感染したシステムを迅速に特定できるようになる
• 被害状況を評価し、何がアクセス・窃取・改ざんされたのかを把握できるようになる
• インシデントの封じ込めと復旧対応を実施できるようになる
• 攻撃者の動向を追跡し、ネットワーク全体の把握に役立つ脅威インテリジェンスを構築できるようになる
• 攻撃者の手法に関する知識をもとに、追加の侵害を特定できるようになる

アンチフォレンジックやデータ隠蔽に対抗するための高度なフォレンジックスキルを習得できるようになるハンズオン形式のインシデント対応トレーニングでは、実際の攻撃を封じ込め、排除するために必要なプロセスとマインドセットを習得します。あわせて、デジタルフォレンジックおよびインシデント対応分野で高く評価されているGCFA（GIAC Certified Forensic Analyst）認定資格の合格に必要なスキルと手法も強化します。

攻撃フェーズ

• フェーズ1：最初の侵害（Patient Zero）とマルウェアのC2ビーコン設置
• フェーズ2：権限昇格、他システムへのラテラルムーブメント、マルウェアツールのダウンロード、追加ビーコンの設置、ドメイン管理者権限の取得
• フェーズ3：知的財産の探索、ネットワークの把握、ビジネスメール詐欺（BEC）、アカウント認証情報のダンプ
• フェーズ4：データ漏洩ポイントの特定、窃取に向けたデータの収集および準備
• フェーズ5：痕跡の削除と長期的なパーシステンスの確立（またはランサムウェアの展開）

インシデントが発生した場合でも、FOR508受講者は以下のスキルを発揮できます：

• 攻撃がいつ、どのように発生したのかを特定
• 侵害・感染したシステムを迅速に特定
• 被害状況を評価し、何が閲覧・窃取・改ざんされたのかを把握
• インシデントの封じ込めと復旧対応を実施
• 攻撃者の手法に関する知識をもとに、追加の侵害を特定

学習内容

• 攻撃者の検知・封じ込め・復旧に必要なツールと手法の習得
• エンタープライズのWindows環境において、稼働中・潜伏中・カスタムマルウェアを検出
• 大規模環境でのスレットハンティングおよびインシデント対応の実施
• メモリ解析やWindowsホストフォレンジックを通じて、マルウェアのビーコン通信、ラテラルムーブメント、C2活動を特定
• 侵害を分析し、根本原因、攻撃経路、パーシステンスの仕組みを特定
• アンチフォレンジック手法への対抗、削除されたデータの復元、攻撃者の活動を追跡
• フォレンジックツールを活用した脅威の排除とエンタープライズ環境の保護

ビジネス観点でのポイント

• 攻撃者の手口（トレードクラフト）を理解し、プロアクティブな侵害評価を実施
• 検知能力の強化
• 標的型攻撃者の追跡と侵入に備えるためのスレットインテリジェンスを構築
• アンチフォレンジックに対抗する高度なフォレンジックスキルの習得

執筆者のコメント

現代社会において、私たちのあらゆる活動はネットワークを介して行われています。仕事から娯楽、金融取引、家族や友人とのコミュニケーションに至るまで、ほぼすべてが信頼されたネットワークとコンピューティングシステムに依存しています。そのため、これらのシステムを守ることは、政府機関、企業、中小企業、教育機関、さらには非営利団体に至るまで、あらゆる組織のセキュリティ担当者にとって極めて重要です。ランサムウェアや恐喝攻撃をはじめとする脅威の増加により、あらゆるネットワークがサイバー攻撃のリスクにさらされています。したがって、防御が突破された際に迅速に対応できる訓練された人材の存在が不可欠です。

FOR508は、SANSにおけるフォレンジックおよびインシデント対応の原点となるコースです。ゼロから設計され、長年にわたり進化を続けることで、あらゆる組織の実務者がネットワーク侵入者を発見し無力化するために必要な分析技術を習得できるよう構成されています。本コースでは、悪意あるコードの特定、侵害されたアカウントの検出、攻撃者によるラテラルムーブメントやパーシステンスの把握、さらにはデータの窃取や破壊の検知などについて、深く掘り下げて学びます。

受講者は、スレットハンティングとして能動的に、またインシデント対応として事後的に、これらの活動を検知するための知識を身につけます。そして、インシデントの性質と影響範囲を正確に把握することで、脅威の封じ込め、攻撃者の排除、業務の復旧を実現できるようになります。これらのスキルは、受講者が自信を持って日々の脅威に立ち向かうための大きな力となります。この重要な取り組みに関われることは、非常にやりがいがあり、モチベーションを高めてくれるものです。

- Mike Pilkington

現在のサイバー脅威環境では、資金力・装備・訓練のいずれも高度な攻撃者が活動しています。ほぼすべての国家がサイバー攻撃を担う部隊を保有し、増え続ける標的組織へのアクセスを維持しようとしています。スパイ活動、知的財産の窃取、サイバー戦といった目的のもと、各国はサイバー空間における影響力を拡大し続けています。さらに、組織犯罪グループもランサムウェアや恐喝攻撃を用いて、中小企業を含む幅広い組織を日常的に標的としています。これらはいずれも標的型攻撃であり、単なる予防的対策だけでは防ぐことはできません。あなたの組織も、こうした攻撃者の標的となっている可能性があります。

能動的なサイバー防御には、攻撃の兆候を見極め、侵害の指標を追跡し、被害範囲を特定し、適切に対応できる訓練されたアナリストが不可欠です。攻撃者は常に戦術・技術・手順（TTP）を進化させ、その攻撃の成功率を高めています。防御側もこれらの変化に対応し続けなければ、組織やその利用者を守ることはできません。

FOR508では、組織の技術スタックに依存せず、現在の攻撃を検知・対応するために有効で、かつスケーラブルな実践的スキルを習得できます。侵害を想定したハンズオン演習を通じて、実務に直結する経験とスキルを身につけ、問題解決の担い手として活躍できる力を養います。

- Steve Anson